Laboratoriya lêkolînê 360 Netlab nasnameya malwareya nû ya ji bo Linux, bi navê kod RotaJakiro û di nav de pêkanîna deriyek paşde ya ku dihêle hûn pergalê kontrol bikin, ragihand. Malware dikaribû ji hêla êrîşkaran ve hatî saz kirin piştî ku qelsiyên nepatchkirî yên di pergalê de bikar anîn an jî şîfreyên qels texmîn kirin.
Deriyê paşîn di dema analîzkirina seyrûsefera gumanbar a yek ji pêvajoyên pergalê de, ku di dema analîzkirina avahiya botnetê ya ku ji bo êrîşa DDoS-ê hatî bikar anîn de, hate kifş kirin. Berî vê yekê, RotaJakiro sê salan nediyar ma; bi taybetî, yekem hewildanên ji bo şopandina pelan bi haşeyên MD5-ê yên ku bi malware-ya naskirî ya di karûbarê VirusTotal de têkildar in di Gulana 2018-an de bûn.
Yek ji taybetmendiyên RotaJakiro karanîna teknîkên cihêreng ên kamûflajê ye dema ku wekî bikarhênerek bêdestûr û root tê xebitandin. Ji bo ku hebûna xwe veşêre, paşperdeya navên pêvajoyê systemd-daemon, session-dbus û gvfsd-helper bikar anî, ku, ji ber tevliheviya belavkirinên Linux-ê yên nûjen bi her cûre pêvajoyên karûbarê re, di nihêrîna pêşîn de rewa xuya bû û gumanan dernexist.
Dema ku bi mafên root têne xebitandin, skrîptên /etc/init/systemd-agent.conf û /lib/systemd/system/sys-temd-agent.service ji bo çalakkirina malware hatin afirandin, û pelê bikêrhatî bi xwe wekî / hate cîh kirin / bin/systemd/systemd -daemon û /usr/lib/systemd/systemd-daemon (fonksiyonê di du pelan de hate dubare kirin). Dema ku wekî bikarhênerek standard tê xebitandin, pelê $HOME/.config/au-tostart/gnomehelper.desktop hate bikar anîn û guhertin li .bashrc hatin çêkirin, û pelê îcrakar wekî $HOME/.gvfsd/.profile/gvfsd hate tomarkirin. -alîkar û $ HOME/ .dbus/sessions/session-dbus. Herdu pelên îcrakar bi hevdemî hatin destpêkirin, ku her yek ji wan çavdêriya hebûna yê din dikir û ger bi dawî bû wê sererast kir.
Ji bo veşêrin encamên çalakiyên xwe yên li piştê, çend algorîtmayên şîfrekirinê hatin bikar anîn, mînakî, AES ji bo şîfrekirina çavkaniyên wan hate bikar anîn, û tevliheviyek AES, XOR û ROTATE bi tevlihevkirina bi karanîna ZLIB re hate bikar anîn da ku kanala ragihandinê veşêre. bi servera kontrolê.
Ji bo wergirtina fermanên kontrolê, malware bi porta torê 4 re bi 443 domainan re têkilî danî (kanala ragihandinê protokola xwe bikar anî, ne HTTPS û TLS). Domên (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com û news.thaprior.net) di 2015-an de hatine tomar kirin û ji hêla Deltahost-ê pêşkêşkarê mêvandariya Kyiv-ê ve têne mêvandar kirin. 12 fonksiyonên bingehîn di paşîn de hatin yek kirin, ku destûr da barkirin û bicîhkirina pêvekên bi fonksiyonên pêşkeftî, veguheztina daneyên cîhazê, girtina daneyên hesas û birêvebirina pelên herêmî.
Source: opennet.ru